De EU werkt sinds 2016 aan manieren om digitale berichten te ontsleutelen. Na de oprichting van een afdeling bij Europol worden internetbedrijven nu gedwongen om meer samen te werken. Ze zouden ontsleutelde gegevens moeten overhandigen aan de politie en geheime diensten. Brussel wil het onmogelijke (en niet noodzakelijke) geregeld zien.
Een paar maanden geleden schreven we een artikel over een slechte wet
in de VS die de privacy en veiligheid op internet effectief zou
vernietigen door encryptie te ondermijnen. Helaas is dat niets nieuws:
autoriteiten zeuren al jaren over dingen die "buiten het zicht" zijn.
Bovendien is dit laatste voorstel niet zomaar een Amerikaanse
ontwikkeling. In een officieel document heeft het huidige Duitse
voorzitterschap van de Raad van de Europese Unie (één van de
belangrijkste organisaties in de EU) aangekondigd dat het in dezelfde
richting wil gaan. Individuele regeringen moeten hun standpunt
uiterlijk 7 oktober naar een e-mailadres van het Duitse ministerie van
Binnenlandse Zaken sturen. Het een en ander heeft tot doel een
EU-verklaring voor te bereiden waarin een gemeenschappelijke lijn
inzake versleuteling op EU-niveau op het gebied van interne veiligheid
wordt geconsolideerd, ter ondersteuning van verdere ontwikkelingen en
de dialoog met dienstverleners.
Het Permanent Comité voor operationele samenwerking op het gebied van
interne veiligheid (COSI) wil vervolgens beslissen hoe verder te gaan.
Daar coördineren de nationale ministeries van Binnenlandse Zaken met
elkaar.
In een mededeling van 18 september benadrukte het Duitse
voorzitterschap de voordelen van versleuteling. Het Duitse federale
ministerie van Binnenlandse Zaken, dat nu verantwoordelijk is voor
justitie en binnenlandse zaken in de EU, roept ook op tot een "passend
evenwicht tussen de bescherming van de persoonlijke levenssfeer, de
bescherming van intellectuele eigendom en de rechtmatige toegang van
wetshandhavings- en gerechtelijke autoriteiten". Terrorisme,
georganiseerde misdaad en cybercriminaliteit gelden als gebieden
waarop autoriteiten versleutelde gegevensstromen hadden moeten
omleiden.
Het Comité moet nu proberen een goed evenwicht te vinden tussen de
bescherming van de privacy, de bescherming van intellectuele eigendom
en rechtmatige wetshandhaving en gerechtelijke toegang, waarbij de
nadruk wordt gelegd op veiligheid door middel van encryptie en op
beveiliging ondanks encryptie.
Met andere woorden, de EU jaagt nog steeds op de hoofdprijs van "legale
toegang" tot versleuteld materiaal zonder de versleuteling op de een
of andere manier te breken. Een begeleidende onofficiële "notitie" van
de diensten van de Europese Commissie somt enkele van wat zij "belangrijkste
overwegingen" noemt op, maar deze jagen nog steeds op die hoofdprijs
zonder uit te leggen hoe dat gedaan kan worden: technische oplossingen
die versleuteling verzwakken of direct of indirect verbieden, worden
niet ondersteund. Verder mogen technische oplossingen om toegang te
krijgen tot gecodeerde informatie alleen worden gebruikt waar dat
nodig is, d.w.z. waar ze effectief zijn en waar andere, minder
ingrijpende maatregelen niet beschikbaar zijn. Ze moeten proportioneel
zijn, doelgericht en op de minst indringende manier worden gebruikt.
Iets meer details over de opties zijn te vinden in een andere
onofficiële nota over "Technische oplossingen om seksueel misbruik van
kinderen op te sporen in gecodeerde end-to-end communicatie". De
meeste oplossingen omvatten het installeren van detectietools op het
apparaat van de gebruiker. Dat kan worden omzeild door apparaten
zonder detectiesoftware te gebruiken, of door een service te gebruiken
die ze niet installeert.
Misschien wel de meest interessante technische benadering betreft
homomorfe versleuteling
op het apparaat met
hashing en matching aan
de serverzijde: bij deze oplossing worden afbeeldingen versleuteld met
behulp van een zorgvuldig gekozen gedeeltelijk homomorf
versleutelingsschema (hierdoor kan een versleutelde versie van de hash
worden berekend op basis van de versleutelde afbeelding). De
gecodeerde afbeeldingen worden naar de server (van een online
serviceprovider) gestuurd voor hashing en matching met een gecodeerde
versie van de hashlijst (de server heeft niet de homomorfe
coderingssleutels).
Maar dit werkt alleen voor services die een dergelijk schema
implementeren, en het is alleen van toepassing op bestaande
afbeeldingen, niet op algemene berichten of zelfs video's. Bovendien
is de technologie om een dergelijke aanpak te implementeren nog in
ontwikkeling.
In wezen vertelt de EU, net als de VS, mensen dat ze "hier nog harder
op moeten studeren" en een oplossing moeten bedenken die legale
toegang toestaat, maar de versleuteling niet verbreekt. Omdat dat "hardere
studeren" al decennia lang geen manier heeft opgeleverd om dat te doen,
is het misschien tijd voor de autoriteiten om te accepteren dat het
gewoon niet kan.
Het goede nieuws is dat het er niet toe doet. Een voorbeeld:
De recente ontmanteling van het EncroChat-netwerk in een gezamenlijk
onderzoek dat wordt gecoördineerd door Eurojust en Europol, toont aan
in hoeverre degenen die betrokken zijn bij criminele activiteiten alle
beschikbare technologie gebruiken, zoals crypto-telefoons, die veel
verder gaan dan openbaar beschikbare end-to-end gecodeerde diensten.
Door EncroChat - een in Europa gevestigd versleuteld mobiel netwerk
dat op grote schaal wordt gebruikt door de georganiseerde misdaad -
aan te pakken (in een poging om te bewijzen hoe ernstig het probleem
is) doen de autoriteiten in feite het tegenovergestelde. De EU-politie
slaagde erin het netwerk te hacken en malware op handsets te plaatsen,
maar het breken van de encryptie bleek helemaal niet relevant, omdat
de autoriteiten een andere oplossing vonden.
Tijdens het ontsleutelen van EncroChat bleek er iets anders te zijn
dat over het algemeen over het hoofd wordt gezien. Vandaag de dag
hebben autoriteiten toegang tot ongekende hoeveelheden nuttige
informatie die kan worden gebruikt om verdachten op te sporen en
misdaden te voorkómen. Dat komt van zaken als sociale media en e-commercesites.
Maar zoals het materiaal van EncroChat laat zien, scheppen criminelen
paradoxaal genoeg in het openbaar op dat ze gesloten, gecodeerde
kanalen gebruiken om te communiceren, en spreken zij vrijuit over hun
vroegere, huidige en toekomstige misdaden, noemen ze namen en geven
zij op die manier gedetailleerde informatie over hun activiteiten. Dat
betekent dat het eigenlijk in het belang van de autoriteiten is om
criminelen en terroristen toe te staan versleutelde diensten te
9blijven) gebruiken. Als er tijdelijke oplossingen worden gevonden,
bieden deze tot nu toe geheime kanalen grotere hoeveelheden
hoogwaardige informatie dan ooit zou kunnen worden verkregen als
mensen wisten dat hun communicatie achterdeurtjes heeft en daarom niet
veilig is.
Brussel wil dus dat de internetindustrie meer verantwoordelijk moet
worden gemaakt. De Raad en de Commissie reageren hiermee op een
aankondiging van Facebook over de implementatie van end-to-end-encryptie
in Facebook-boodschappen. Dit zou volgens de EU-technocraten leiden
tot "een aanzienlijk verlies van elektronisch bewijs" wanneer
kindermisbruik wordt ontdekt. De Duitse federale minister van
Binnenlandse Zaken Horst Seehofer legde in het voorjaar van vorig jaar
een soortgelijke verklaring af.
Een paar maanden later reageerden de zogenaamde Five Eyes in een open
brief nadat CEO Mark Zuckerberg meer encryptie in Facebook-chats had
aangekondigd. De vijf regeringen uit de VS, Canada, Groot-Brittannië,
Australië en Nieuw-Zeeland riepen het technologiebedrijf op om politie
en geheime diensten op hun verzoek toegang te verlenen tot gecodeerde
gegevens "in een leesbaar en bruikbaar formaat".
De Five Eyes staan bekend om hun buitenlandse inlichtingendiensten
die nauw met elkaar samenwerken. In de brief aan Facebook noemen de
betrokken regeringen bescherming tegen kindermisbruik als argument
tégen versleuteling. Dit is echter de verantwoordelijkheid van de
wetshandhavingsinstanties, niet van de geheime diensten.